コンピューターウイルスの感染場所や経路。WannaCryとは何だったのか

コンピューターウイルスの感染場所や経路。WannaCryとは何だったのか

まとめ系

「これ1冊で丸わかり 完全図解 セキュリティー入門」を読んで学んだコンピューターウイルスについてまとめておきます。

コンピューターウイルスとは

一口にコンピューターウイルス(以下ウイルス)と言っても定義は曖昧だが、一般には悪質なソフトウェア全般を指すことが多いです。情報を盗み出したり、外部から遠隔操作できるようにしたり、金銭を奪うするソフトウェアは全てウイルスと言えます。

ウイルスはその仕組みや働き、プログラムの構造などから、様々な名前がつけられています。

・情報を盗む

スパイウェア:個人情報などを外部に送信する

キーロガー:キーボードの入力情報を外部に送信する

・遠隔操作できるようにする

ダウンローダー:攻撃者が用意した別のウイルスに感染させる

ボット:攻撃者の指示を受けて情報を盗み出したり、第三者を攻撃したりする

・金銭を奪う

ランサムウェア:ユーザのデータを暗号化し、元に戻すために金銭を要求する

マイニングウイルス:パソコンのリソースを使って仮想通貨を得るための計算を実行する

 

ウイルスの感染場所

ウイルスの感染場所は大きく3つに分類できます。

  1. 既存のファイルへの埋め込み
  2. 新しいファイルとしての追加
  3. メモリ空間への追加

既存のファイルへの埋め込み

このタイプは、既存のファイルを上書きしたり、一部を書き換えたりすることで感染します。既存のファイルは、ユーザが普段利用するプログラムファイルだったり、Officeの文書ファイルだったりします。

プログラムファイルに感染した場合は、ユーザが起動したり、OSの起動シーケンス中に実行されることで、ウイルスが活動開始します。

一方、オフィススイートの文書ファイルの場合は、マクロと呼ばれる機能によって、文書ファイルが開いたときにウイルスが活動開始します。

 

新しいファイルとしての追加

このタイプは、パソコンに全く新しいファイルとして入り込むウイルスです。

有益なソフトウェアに見せかけて、ユーザ自身にインストールさせることが多いです。

 

メモリ空間への追加

このタイプは、メモリ空間に存在し、コンピューターを再起動すれば消えてしまいます。だが、シャットダウン時にレジストリなどOSのシステムファイルに書き込まれて、再起動時に再びメモリ空間に置かれるタイプもあります。

ディスクにファイルを保存しないため、どのタイプよりもウイルス対策ソフトで検知されにくくなります。

 

ウイルスに感染する経路

引用:これ1冊で丸わかり 完全図解 セキュリティー入門

ウイルスに感染する経路は主に「メール(添付ファイル)」、「Webアクセス」、「ファイルのダウンロード」、「LAN」、「USBメモリ」の5種類に分けられます。

基本的に感染経路として最も多いのはメールでからだが、2017年4月に発生したWannaCryが大流行した際はネットワーク経由が最も多くなっています。ここでのネットワークはWebアクセスとLANによる感染経路がまとめられています。

 

WannaCryとはなんだったのか

2017年5月に世界的に大発生したワーム型ランサムウェアであるWannaCryが話題になりましたが、これは一体どんな仕組みで何が起こっていたのか本書で語られていました。

 

ランサムウェアでありワームであるWannaCry

WannaCryは感染したパソコンのファイルを暗号化し、複合のための身代金を要求するランサムウェアであると同時に感染拡大機能を備えるワーム面も持ちます。

感染拡大の際にWannaCryが悪用したのが、Windowsでファイル共有などに利用されるSMBという機能が抱えていた脆弱性です。

マイクロソフトは2017年3月にこの脆弱性を対処するための更新プログラムを公開しましたが、WannaCryに感染したのは、この更新プログラムを適用していないWindowsパソコンでした。

 

WannaCryが感染を広げる仕組み

引用:これ1冊で丸わかり 完全図解 セキュリティー入門

WannaCryは攻撃対象のパソコンにまずポート445で接続します。ポートが開いていなければWannaCryには感染しません。

WannaCryが攻撃対象に接続すると、まずSMBの脆弱性があるかどうかをチェックします。脆弱性がある場合は、侵入口を作るためのプログラムであるバックドアを送り込み、WannaCry本体を送り込んで感染させます。

 

感染拡大能力を得た「EternalBlue」と「DoublePulsar」

引用:これ1冊で丸わかり 完全図解 セキュリティー入門

元々感染拡大能力が低かったWannaCryは「EternalBlue」と「DoublePulsar」の2つのツールを取り込むことで、ネットワークを介して急速に被害が拡大しました。

DoublePulsarはWannaCryが悪用するバックドアで、EternalBlueはSMBの脆弱性を悪用することで、DoublePulsarを設置するプログラムです。

これらのツールはハッカー集団「Shadow Brokers」がアメリカのNSAから盗み出したツールを悪用して凶悪化したものでした。

 

WannaCryの仕組み

引用:これ1冊で丸わかり 完全図解 セキュリティー入門

まずEternalBlueを使って、攻撃対象のパソコンのメモリにあるSMBドライバにバックドアのDoublePulsarを送り込みます。

DoublePulsarを仕込まれたメモリ上のSMBドライバは、Isass.exeというシステムファイルのプロセスに対し、WannaCryを含むDLLをインジェクションします。

DLLはプログラムに実行時に動的にリンクさせるライブラリのことで、DLLインジェクションすることで、プロセスに強制的に指定したDLLファイルを注入し、プロセスを本来とは違う動作をさせます。

今回の場合、Isass.exeのプロセスにDLLインジェクションされることで、WannaCryが起動し、暗号化・身代金要求と他のパソコンへの感染拡大を開始します。

 

これ1冊で丸わかり 完全図解 セキュリティー入門